Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Connectez-vous à SageMaker Within your VPC
Vous pouvez vous connecter directement à SageMaker API ou à Amazon SageMaker Runtime via un point de terminaison d'interface dans votre cloud privé virtuel (VPC) au lieu de vous connecter via Internet. Lorsque vous utilisez un point de terminaison d'VPCinterface, la communication entre votre VPC et le SageMaker API Runtime est effectuée de manière entièrement et sécurisée au sein d'un AWS réseau.
Se connecter SageMaker via un point de terminaison VPC d'interface
Le SageMaker API et SageMaker Runtime prennent en charge les points de terminaison de l'interface Amazon Virtual Private Cloud (AmazonVPC) alimentés par AWS PrivateLink
Le point de terminaison de l'VPCinterface vous connecte VPC directement à l' SageMaker API SageMaker environnement d'exécution AWS PrivateLink sans utiliser de passerelle Internet, d'NATappareil, de VPN connexion ou de AWS Direct Connect connexion. Les instances de votre ordinateur VPC n'ont pas besoin de se connecter à l'Internet public pour communiquer avec le SageMaker Runtime SageMaker API ou Runtime.
Vous pouvez créer un point de terminaison d' AWS PrivateLink interface pour vous connecter à SageMaker ou à SageMaker Runtime en utilisant le AWS Management Console ou AWS Command Line Interface (AWS CLI). Pour obtenir des instructions, consultez la section Accès à un AWS service à l'aide d'un point de VPC terminaison d'interface.
Si vous n'avez pas activé de nom d'hôte privé de système de noms de domaine (DNS) pour votre VPC point de terminaison, après avoir créé un VPC point de terminaison, spécifiez le point de terminaison URL Internet dans le SageMaker API ou SageMaker Runtime. Voici un exemple de code utilisant des AWS CLI commandes pour spécifier le endpoint-url paramètre.
aws sagemaker list-notebook-instances --endpoint-urlVPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com aws sagemaker list-training-jobs --endpoint-urlVPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com \ --endpoint-nameEndpoint_Name\ --body "Endpoint_Body" \ --content-type "Content_Type" \Output_File
Si vous activez les DNS noms d'hôte privés pour votre VPC point de terminaison, vous n'avez pas besoin de le spécifier URL car il s'agit du nom d'hôte par défaut (https://api.sagemaker).Region.amazon.com) se résout sur votre terminal. VPC De même, le DNS nom SageMaker d'hôte Runtime par défaut (https://runtime.sagemaker.Region.amazonaws.com) correspond également à votre point de terminaison. VPC
Les VPC points de terminaison SageMaker API et SageMaker Runtime sont disponibles sur tous les sites Régions AWS où Amazon VPC et SageMakerAre sont disponibles. SageMaker permet de passer des appels à tout ce qui se Operationstrouve à l'intérieur de votreVPC. Si vous utilisez le AuthorizedUrl
CreatePresignedNotebookInstanceUrlcommande, votre trafic passera par l'Internet public. Vous ne pouvez pas uniquement utiliser un VPC point de terminaison pour accéder au présignéURL, la demande doit également passer par la passerelle Internet.
Par défaut, vos utilisateurs peuvent partager le pré-signé avec des personnes extérieures URL à votre réseau d'entreprise. Pour plus de sécurité, vous devez ajouter IAM des autorisations afin de restreindre les URL seules autorisations utilisables au sein de votre réseau. Pour plus d'informations sur IAM les autorisations, voir Comment AWS PrivateLink fonctionne avec IAM.
Note
Lors de la configuration d'un point de terminaison d'VPCinterface pour le service SageMaker Runtime (https://runtime.sagemaker. Region
Pour en savoir plus AWS PrivateLink, consultez la AWS PrivateLink documentation. Reportez-vous à la section AWS PrivateLink Tarification pour connaître
Utilisation de SageMaker la formation et de l'hébergement avec des ressources internes à votre VPC
SageMaker utilise votre rôle d'exécution pour télécharger et charger des informations depuis un bucket Amazon S3 et Amazon Elastic Container Registry (AmazonECR), indépendamment de votre conteneur de formation ou d'inférence. Si vous avez des ressources situées dans votreVPC, vous pouvez toujours autoriser SageMaker l'accès à ces ressources. Les sections suivantes expliquent comment mettre vos ressources à disposition SageMaker avec ou sans isolation du réseau.
Sans l'isolement réseau activé
Si vous n'avez pas défini l'isolation du réseau pour votre tâche ou votre modèle de formation, SageMaker vous pouvez accéder aux ressources en utilisant l'une des méthodes suivantes.
-
SageMaker les conteneurs d'inférence déployés et de formation peuvent accéder à Internet par défaut. SageMaker les conteneurs peuvent accéder à des services et ressources externes sur l'Internet public dans le cadre de vos charges de travail de formation et d'inférence. SageMaker les conteneurs ne peuvent pas accéder aux ressources qu'ils VPC contiennent sans VPC configuration, comme le montre l'illustration suivante.
-
Utilisez une VPC configuration pour communiquer avec les ressources qui se trouvent à votre intérieur VPC par le biais d'une elastic network interface (ENI). La communication entre le conteneur et les ressources qu'il contient VPC s'effectue de manière sécurisée au sein de votre VPC réseau, comme le montre l'illustration suivante. Dans ce cas, vous gérez l'accès réseau à vos VPC ressources et à Internet.
Avec l'isolement réseau
Si vous utilisez l'isolation du réseau, le SageMaker conteneur ne peut pas communiquer avec les ressources qu'il contient VPC ni effectuer d'appels réseau, comme le montre l'illustration suivante. Si vous fournissez une VPC configuration, les opérations de téléchargement et de chargement seront exécutées via votreVPC. Pour plus d'informations sur l'hébergement et la formation liés à l'isolation du réseau lors de l'utilisation d'unVPC, consultezIsolement du réseau.
Créez une politique de VPC point de terminaison pour SageMaker
Vous pouvez créer une politique pour les VPC points de terminaison Amazon SageMaker afin de spécifier les éléments suivants :
-
Le principal qui peut exécuter des actions.
-
Les actions qui peuvent être effectuées.
-
Les ressources sur lesquelles les actions peuvent être exécutées.
Pour plus d'informations, consultez la section Contrôle de l'accès aux services avec des VPC points de terminaison dans le guide de VPC l'utilisateur Amazon.
Note
VPCles politiques de point de terminaison ne sont pas prises en charge pour les points de terminaison SageMaker d'exécution Federal Information Processing Standard (FIPS) pour runtime_InvokeEndpoint.
L'exemple de politique de point de VPC terminaison suivant indique que tous les utilisateurs ayant accès au point de terminaison d'VPCinterface sont autorisés à appeler le point de terminaison SageMaker hébergé nommémyEndpoint.
{ "Statement": [ { "Action": "sagemaker:InvokeEndpoint", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint", "Principal": "*" } ] }
Dans cet exemple, les éléments suivants sont refusés :
-
Autres SageMaker API actions, telles que
sagemaker:CreateEndpointetsagemaker:CreateTrainingJob. -
Invoquer des points de terminaison SageMaker hébergés autres que.
myEndpoint
Note
Dans cet exemple, les utilisateurs peuvent toujours effectuer d'autres SageMaker API actions en dehors deVPC. Pour plus d'informations sur la façon de restreindre API les appels aux personnes provenant de l'intérieur duVPC, consultezContrôlez l'accès au SageMaker API en utilisant des politiques basées sur l'identité.
Création d'une politique de VPC point de terminaison pour Amazon SageMaker Feature Store
Pour créer un VPC point de terminaison pour Amazon SageMaker Feature Store, utilisez le modèle de point de terminaison suivant, en remplaçant votre VPC_Endpoint_ID.api and Region:
VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com
Connectez votre réseau privé à votre VPC
Pour appeler le SageMaker API et SageMaker Runtime via votreVPC, vous devez vous connecter depuis une instance située à l'intérieur du VPC ou connecter votre réseau privé à votre en VPC utilisant un AWS Virtual Private Network (AWS VPN) ou AWS Direct Connect. Pour en savoir plus AWS VPN, consultez VPNConnections dans le guide de l'utilisateur d'Amazon Virtual Private Cloud. Pour plus d'informations AWS Direct Connect, voir Création d'une connexion dans le guide de l'utilisateur de AWS Direct Connect.
